Messen und Bewerten von Informationssicherheit

Transkript

1 Messen und Bewerten von Informationssicherheit Möglichkeiten der Softwareunterstützung am Beispiel von HiScout René W. Klose

2 Agenda Vorstellung des Partnerunternehmens Informationssicherheit und ihre Messbarkeit Software-Produkt HiScout Messen von Informationssicherheit in HiScout

3 Visitenkarte HiSolutions AG Gründung Vision Mission Felder Mitarbeiter Firmensitz Awards 1994 Der sichere und effiziente Umgang mit Informationen macht unsere Kunden erfolgreicher Wir schützen und optimieren die Informationsverarbeitung unserer Kunden mit Organisations- und Technologiekompetenz IT-Service Management Information Security 45 Berlin Innovationspreis Berlin/Brandenburg Fast50 Germany Fast500 Europe

4 Informationssicherheit und ihre Messbarkeit Warum muss man Informationssicherheit messen? Das Messen dient zwei wesentlichen Zwecken. Unternehmensintern Versorgung der verschiedenen Managementebenen mit Informationen (strategisch, taktisch, operativ) Entscheidungsunterstützung Kontinuierliche Verbesserung der Informationssicherheit Unternehmensextern Gesetzgeber (Basel II, BDSG, SOX, MaRisk, KonTraG) Geschäftspartner (insb. bei enger Kooperation und beim Outsourcing) Kunden (persönlich Kundenund Kreditkartendaten) Wirtschaftlichkeitsbetrachtungen

5 Informationssicherheit und ihre Messbarkeit Wie kann man Informationssicherheit messen? Aktuelle Messansätze Quantitative Modelle (ALE, ROI, ROSI, Interner Zinsfuß) Abdeckung von Standards (insb. IT-GSHB und ISO 17799) Szenarioanalyse und Sicherheitsstärke (Penetrationstest, Social Engineering, Red Team Factor, CTB) Reifegrade von Sicherheitsprozessen (SSE-CMM) Informationssicherheitskultur (der Faktor Mensch )

6 Informationssicherheit und ihre Messbarkeit Auf welcher Ebene sollte eine Softwareunterstützung erfolgen? Measurement Information Model nach ISO Hoher Abstraktionsgrad Wohldefinierte Begriffe Stabiles Modell zur Anwendung in unterschiedlichen Bereichen Sämtliche Messansätze entlang des Modells erklärbar

7 Software-Produkt HiScout Was sind die Charakteristika der HiScout-Plattform? HiScout-Plattform Webbasierte Business Community Software für das Intranet Konfiguration und Weiterentwicklung durch den Anwender Selbständige Modellierung individueller Informationsstrukturen Integriertes Informationsmanagement durch Verknüpfung vielfältiger Informationen Vorkonfigurierte Editionen zu verschiedenen Themengebieten verfügbar

8 Software-Produkt HiScout Wodurch zeichnet sich die HiScout Security Manager Edition aus? HiScout Security Manager Edition Fokus auf Business Continuity Management und Informationssicherheit Vielzahl vordefinierter Inhaltstypen als potentielle Messobjekte Teilweise bereits Herleitung von Messgrößen im Rahmen der integrierten Reporting-Funktionalität Verlust der neu gewonnenen Information im HiScout-System durch deren Export als Management Report

9 Messen von Informationssicherheit in HiScout Wie muss das HiScout-Objektmodell erweitert werden? Erweiterung des HiScout-Objektmodells Erweiterung in enger Anlehnung an das Measurement Information Model Definition der Begriffe als Inhalts- und Beziehungstypen Verknüpfung mit den Inhaltstypen der Messobjekte (Entities)

10 Messen von Informationssicherheit in HiScout Wie kann HiScout bei der Entwicklung von Kennzahlen unterstützen? Entwicklung von Kennzahlen Zielbestimmung für das Sicherheitskennzahlenprogramm durch im System dokumentiertes Sicherheitsregelwerk Vorgaben für Kennzahlen aus Standards und Best Practices Katalog mit Beispiel-Kennzahlen Überarbeitung der Kennzahlen und Änderungsmanagement mit Hilfe der Plattform-Funktionalitäten Detaillierte Dokumentation der Kennzahlen-Spezifikation

11 Messen von Informationssicherheit in HiScout Wie kann HiScout bei der Generierung der Kennzahlen unterstützen? Generierung der Kennzahlen Unterstützung der dritten Phase durch dokumentierte Analysemodelle und Vergleichswerte Automatisierung der zweiten Phase durch maschinelles Berechnen der Messgrößen Automatisierung der ersten Phase durch Unterstützung subjektiver und objektiver Messmethoden

12 Messen von Informationssicherheit in HiScout Wie kann HiScout bei der Kommunikation der Kennzahlen unterstützen? Kommunikation der Kennzahlen Persistente Speicherung aller Messgrößen im HiScout-System Verwendung historischer Daten für erfahrungsbasierte Schlussfolgerungen Differenzierte Verteilung der Kennzahlenwerte an autorisierte Personen Eintauchen in die Daten zum Nachvollziehen ihres Zustandekommens Defizit in der grafischen Darstellung!

13 Messen von Informationssicherheit in HiScout Was lässt sich abschließend festhalten und wie geht es weiter mit HiScout? Umfangreiche Unterstützung möglich, besonders im Bereich Dokumentation und Automatisierung Umsetzung mit den Konzepten der HiScout-Plattform problemlos realisierbar Erweiterung des Objektmodells und Verknüpfung der Inhalte bereits in Form eines Prototypen umgesetzt Abbildung dieses Themas in HiScout als logischer und konsequenter Schritt in Richtung toolbasiertes Management von Informationssicherheit Über Sinnhaftigkeit und Zweckeignung der Kennzahlen entscheidet allein der Mensch!

14 Fragen?